如何将设备添加到 Apple Business Manager(ABM)
Apple Business Manager(ABM)是 Apple 提供的免费门户,可帮助企业简化并自动化公司 Apple 设备的大规模部署和管理,包括 iOS、iPadOS、macOS 和 tvOS 设备。与 Apple Business Manager(ABM)类似,Apple 还提供了 Apple School Manager(ASM),这是面向学校的专用服务,用于简化 Apple 设备管理。
Apple Business Manager(ABM)此前称为 Apple Device Enrollment Program(Apple DEP),用户可以自动或手动将设备添加到 Apple DEP,以进行无线(over-the-air)管理。
先决条件
请确保满足以下先决条件,才能使用 Apple Business Manager(ABM)注册 Apple 设备:
- Apple Business Manager 必须在您所在的国家/地区可用。可在此处查看支持 ABM 的国家/地区列表。
- 设备必须从 Apple 或其授权经销商处购买。您可以在此处查看 Apple 的优选经销商列表。
如果设备既不是直接从 Apple 购买,也不是从其授权经销商处购买,您仍然可以将设备添加到 Apple Business Manager(前提是设备运行或能够运行 iOS 11.0 或更高版本),具体说明请参见此处。
注意:本文中提到的步骤同样适用于 Apple School Manager 门户。
- Apple Business Manager(ABM)如何工作?
- 将 Apple Business Manager 与 MDM 集成
- 如何将设备添加到 Apple Business Manager?
- 设备激活设置
- 同步设备
- 为设备分配用户
- 从 ABM 中移除设备
Apple Business Manager(ABM)如何工作?
该流程首先从您的组织通过 Apple 或 Apple 授权经销商购买 Apple 设备开始。您需要登录您的 Apple Business Manager 帐户。如果您已经拥有 Device Enrollment Program 帐户,您可以按照 DEP 门户中的提示迁移到 Apple Business Manager。您需要将 MDM 注册到 Apple Business Manager 门户。一旦您注册了 DC Server,DC Server 与 Apple 门户之间就会建立安全通信。这用于同步由您的组织购买的设备详细信息。当您发现从 Apple 门户同步的设备后,您可以将其分配给用户。每当设备被激活时,通过 MDM 施加的所有限制和配置都会通过无线方式(OTA)自动安装到所有设备上。通过配置 ABM,您可以确保组织的所有设备在激活后默认立即由 MDM 管理。
 | 如果您没有 ABM 帐户,可以在此处创建。如需了解您的 DUNS 编号(这是先决条件之一),请参阅此处。您还可以参阅此文档,以全面了解 Apple Business Manager。 |
Apple Business Manager(ABM)注册的优势
- 设备将处于受监督状态,这意味着您对设备拥有额外的控制权。有关受监督设备的详细信息,请参阅此处。
- 设备在任何时候都不会脱离 MDM 管理,即使设备恢复出厂设置也是如此。
- 用户可以跳过初始设置步骤,从而更快完成设备激活。
- 开箱即用式注册,确保设备一激活即可立即投入使用。
将 Apple Business Manager 与 MDM 集成
在按照 ABM Program Guide 中提到的步骤创建组织的 Apple ID 和部署帐户后,您需要执行以下步骤,以便使用 Apple Business Manager 注册方式将组织的公司 Apple 设备无缝注册并管理到 MDM 中。
首先,您需要将 DC Server 与组织的 ABM 帐户关联。为此:
- 在 DC Server 上,导航到Agent选项卡,然后在左侧窗格中点击 Mac 下的 ABM/DEP。
- 下载MDM Public Key,该密钥需要上传到 Apple Business Manager 门户。
- 使用组织的受管 Apple ID 登录 Apple Business Manager 门户。
- 点击 Settings-> Device Management Settings,然后导航到 Add DC Server,以在门户上创建一个虚拟Server。
- 根据组织的位置或部门,为该Server输入一个名称。
- 现在,您需要上传先前从 MDM 下载的 MDM Public Key,然后点击Save。
- 点击 Download Token 从 ABM 下载Server令牌。出现提示时,点击 Download Server Token 。
- 返回 MDM 控制台,并在 Upload Server Token 下添加该Server令牌。
- 指定一个电子邮件地址,用于接收有关Server令牌过期的通知。
- 点击 Upload 以完成Server令牌的上传。您可以按此处所述配置设备激活设置。
设置默认Server
使用 Apple Business Manager,您可以在已购买的设备添加到门户后,自动将其分配给特定的Server。此外,您还可以根据所注册设备的类型选择不同的Server。建议将不同类型的设备分配到不同的Server。所有这些Server都可以使用 DC 进行集成和管理。 要为特定类型的设备选择默认Server:
- 从列表中选择所需的Server并点击 Edit。
- 在 Default Device Assignment 下,选择设备类型。
- 点击 Apply ,确保添加到门户的所有设备都分配到此Server。
如何将设备添加到 Apple Business Manager 门户?
使用 Apple Business Manager 注册 Apple 设备的一个优势是,无需与设备进行任何交互即可完成注册。将设备添加到 Apple Business Manager 有两种方法。IT 管理员可以使用以下任一种方法将设备添加到 Apple Business Manager:
- 将经销商详细信息添加到 ABM 门户
- 手动将设备(iPhone/iPad)添加到 Apple Business Manager 门户
将经销商详细信息添加到 ABM 门户
要将设备添加到 Apple Business Manager,必须先将经销商详细信息添加到 ABM 门户。这样,每次从同一经销商处购买设备时,这些设备都会被添加到 ABM 门户,并且由于 ABM 门户与 DC Server 的集成,也会被添加到 MC Server。
注意:在 ABM 中,只有 Administrator 或 Device Manager 角色可以添加经销商详细信息。
- 使用组织凭据登录 ABM。添加经销商的选项仅在 Device Manager 控制台和 Administrator 控制台中可用。
- 点击 Settings -> Device Management Settings. 导航至 Customer Numbers,以添加您的 Apple Customer Numbers 和 ABM/DEP 经销商 ID。
- 点击 Apply 保存详细信息。
如何手动将设备添加到 Apple Business Manager?
在将 DC Server 与 Apple Business Manager(ABM)门户关联后,如果您有在集成门户之前购买的设备,您可以通过以下三种方法之一将设备添加到 Apple Business Manager:
- 通过序列号添加设备
- 通过订单号添加设备
- 通过上传 CSV 文件添加设备
- 使用订单号
- 使用序列号
- 上传 CSV 文件
要将设备直接添加到 DC,请按照以下步骤操作:
- 在 Apple Business Manager 门户中,导航到 Device Assignments。
- 选择 Order Number 或 Serial Number 或 Upload CSV file 选项以选择设备,并填写所需的详细信息。如果您选择 Upload CSV file,系统会提示您浏览并上传包含所有设备序列号的 CSV 文件。
- 现在,您必须选择操作 Assign to Server,并指定先前已配置的 DC Server 名称。
Apple 设备现已自动添加到 DC Server。
设备激活设置
使用 Apple Business Manager 注册方式将设备添加到 MDM 后,所有设备都会成功注册。在注册完成之前,您必须配置设备激活时要应用到设备上的设置。您可以按照以下步骤一次性为所有设备创建并应用这些设置:
- 在 DC 控制台中,导航到 Enrollment -> Apple -> Apple Enrollment(ABM/ASM)。
- 填写 Device Activation Settings 下显示的必填字段。
- 在设备激活时进行身份验证并自动分配用户(仅适用于本地部署版本):如果您希望自动执行用户分配过程,请启用此选项并选择设备在注册后要添加到的组。这允许用户在设备激活时使用其 Active Directory 凭据将设备分配给自己。
- 在设备设置期间跳过这些配置:在设备激活期间,您需要执行一些初始设置步骤。借助 MDM,您可以选择跳过部分步骤或完全跳过设置。假设您的组织希望阻止用户在设置助理过程中设置 Siri,您可以通过从提供的配置设置列表中选择 Siri 来实现。配置设置列表如下。
| 配置 | 说明 |
|---|---|
| 使用 Apple ID 和 iCloud 登录 | 选择此项可在设置期间跳过用户的Apple ID 和 iCloud 登录。这不会限制用户在设备设置完成后进行登录。 |
| Touch ID 设置 | 选择此项可在设置期间跳过 Touch ID 配置。用户稍后可在完成设备设置后配置 Touch ID。 |
| 诊断 | 选择此项可省略在设备设置期间提示用户向 Apple 发送诊断数据。 |
| 显示色调 | 选择此项可在设备设置期间跳过 显示色调 设置助理界面。 |
| 定位服务 | 选择此项可在设置期间禁用定位服务。如果禁用,定位服务将被关闭。用户可在完成设备设置后修改定位设置。 |
| 密码 | 选择此项可防止用户在设置助理过程中设置密码。如果已通过 MDM 分发密码配置文件,则可以跳过此项。 |
| 付款 | 选择此项可防止用户在设置助理中设置 Apple Pay 帐户。这不会限制用户在设备设置完成后进行配置。 |
| 隐私 | 选择此项可在设置助理过程中省略隐私界面。 |
| 从旧设备恢复备份 | 选择此项可限制用户将 iCloud/iTunes 备份恢复到设备。 |
| 条款和条件 | 选择此项可在设备设置期间禁用条款和条件步骤。如果禁用,则默认接受条款和条件。 |
| Siri | 选择此项可限制用户在设备设置期间配置 Siri。如果受限,Siri 将被关闭。这不会限制用户在设备设置完成后进行配置。 |
| 缩放 | 选择此项可在设备设置期间省略缩放功能步骤。 |
| 配置 | 说明 |
|---|---|
| 从 Android 设备恢复 | 选择此项可防止用户从 Android 设备恢复备份。 |
| 键盘选择 | 选择此项可防止用户在设备设置期间选择键盘类型。 |
| 主屏幕按钮灵敏度 | 选择此项可允许用户在设置期间无需配置主屏幕按钮灵敏度即可注册设备。 |
| iMessage 和 FaceTime | 选择此项可在设置助理过程中跳过 iMessage 和 FaceTime 提示。这不会限制用户在设备设置完成后配置这些功能。 |
| 新功能亮点 | 选择此项可在设置助理过程中跳过用于用户引导的入门信息界面(例如“封面页、多任务处理和控制中心”)。 |
| 屏幕使用时间 | 选择此项可防止在设备设置期间向用户介绍屏幕使用时间。 |
| 强制软件更新 | 选择此项可在设置助理过程中跳过强制软件更新界面。 |
| Watch 迁移 | 选择此项可防止用户在设备设置期间查看Watch 迁移选项。 |
| 外观 | 选择此项可在 Mac 设置期间跳过选择您的外观界面。 |
| 配置 | 说明 |
|---|---|
| FileVault | 选择此项可防止用户在设备设置期间配置 FileVault 帐户。建议通过 DC 配置并分发 FileVault 加密 配置文件。 |
| iCloud 诊断 | 选择此项可省略在设备设置期间提示用户向 iCloud 发送诊断信息。 |
| iCloud 存储 | 选择此项可在设备设置期间跳过 iCloud 文稿与桌面 界面。 |
| Apple 注册 | 选择此项可限制用户在设置期间向 Apple 注册设备。 |
| 配置 | 说明 |
|---|---|
| 屏幕保护程序 | 选择此项可允许用户在不配置屏幕保护程序的情况下注册 tvOS 设备。这不会限制用户在设备设置完成后进行相同配置。 |
| 轻点以设置 | 选择此项可跳过使用关联的 iOS 设备设置 Apple TV 的选项(用户需要分别输入帐户信息和设置选项)。 |
| 主屏幕布局同步 | 选择此项可防止用户在设备设置期间切换电视主屏幕布局。 |
| 电视提供商登录 | 选择此项可防止用户在设置期间登录电视服务提供商。 |
| 这台 Apple TV 在哪里?界面 | 选择此项可在 tvOS 设备设置期间省略这台 Apple TV 在哪里步骤。 |
Mac 帐户设置
由于 Apple 已停止使用镜像方式部署 Mac 设备,DC 通过在设备激活时自动创建本地管理员帐户,提供了一种更快、更高效的部署方式。在设备上创建的本地管理员帐户具有以下优势:
- 简化设备维护,因为可以在无需用户干预且在非工作时间执行安全检查和设备审计,从而防止生产力损失。
- 管理员可以安装、更新以及删除系统配置。
- 系统问题和用户帐户问题的故障排除变得更简单、更快捷。如果用户忘记密码,管理员可以通过重置密码来协助用户。
- 可以根据需要添加和删除用户帐户。例如,离职员工的用户帐户可以从公司设备中删除,并在将设备交给下一位员工之前创建新帐户。
要配置本地管理员帐户,请启用 Mac Account Settings,并填写所需字段,详细说明如下。
| 设置 | 说明 |
|---|---|
| 显示名称 | 指定要在 Mac 设备上创建的本地管理员帐户名称。 |
| 用户名 | 指定用于标识您帐户的用户名。 |
| 密码 | 可以为管理员帐户设置密码,并可在需要时进行修改。 |
| 隐藏管理员帐户 | 如果您不希望用户在您协助他们时看到该帐户,可以选择在 Mac 设备上隐藏本地管理员帐户。启用后,该管理员帐户将在登录界面中隐藏,并且进一步完全隐藏。隐藏帐户可以防止被他人窥视。 |
| 允许用户在激活时创建其他帐户 | 您可以在 Mac 机器上配置用户帐户类型。标准帐户类型的权限包括在用户级别安装应用以及修改其设置。标准帐户用户不能添加其他用户或修改其他用户的帐户。如果选择管理员,用户可以添加和管理其他用户、在系统级和用户级安装应用,以及修改设置。 |
点击 Create。 现在,配置和设置将应用到设备。
同步设备
创建 ABM 配置文件并将其应用到设备后,您可以通过导航到 Enrollment-> Apple -> Apple Enrollment (ABM/ASM) 来选择同步设备。同步后,所有设备都会自动列出在 DC 控制台中。
只有当设备被用户激活时,注册过程才算完成,设备才会列在 Enrollment-> Devices 下。
| 如果设备不是新设备,则必须将其恢复出厂设置,才能使用 ABM 进行配置。 |
为设备分配用户
您可以通过导航到 agent,然后进入 ABM/DEP 的 Devices,手动将所有设备分配给单个用户。另一种替代且更简单的方式是通过 CSV 文件添加用户。如果您使用的是本地部署版 DC,还可以自动化用户分配。自动用户分配可确保用户在设备注册时完成身份验证并自助分配。此选项必须在配置 ABM 时启用;如果已完成配置,也可以从 ABM 设置中启用该选项。唯一的先决条件是必须在 DC 中配置 Active Directory。使用 ABM 自动分配注册设备时,设备上提供的用户名必须采用以下格式:domain name\user name。
在为设备分配用户时,还可以将这些设备添加到组中,以自动将应用、配置文件和文档分发到设备。分配用户时,也可以同时将设备添加到多个组。
CSV 示例格式
USER_NAME,EMAIL_ADDRESS,GROUP_NAME
ANDREW,andrew@zylker.com,zylker_drivers
注意
- 用户名和电子邮件地址字段为必填项。组名称为可选字段。请确保指定的组名称已在 DC Server 中创建。如果未提供值,则采用默认值。
- 如果指定了多个组,则组名称之间必须用斜杠(/)分隔。
- CSV 的第一行是列标题,列的顺序可以任意。
- 空白列值应以逗号分隔。
- 如果列值中包含逗号,则应使用引号括起来。
从 ABM 门户移除设备
要取消管理设备,管理员必须先从 DC Server 中删除该设备。一旦设备从 DC Server 中移除,该设备也会自动从 ABM 门户中移除。
已使用一个 ABM 帐户注册的设备不能再注册到另一个帐户。因此,在注册到另一个帐户之前,必须先将这些设备从第一个 ABM 帐户中移除。请按照以下步骤从 ABM 门户中移除设备。
- 登录 ABM 门户并点击 Device Assignments。
- 输入设备的序列号或订单号。如果您要移除多个设备,可以上传包含设备详细信息的 CSV 文件。
- 在 Choose Actions 下选择 Unassign device。这将解除设备与此 ABM 帐户的绑定。
Apple Business Manager 中的 Unassign 与 Release 区别
要移除设备时,请始终选择 Unassign device,而不是 Release device。只有当设备丢失或永久损坏,并且将永远不会再成为任何员工队伍的一部分时,才应使用 Release device。释放设备是不可逆操作,一旦放弃所有权,该设备将永远无法再成为任何组织的一部分。
